Развитие нормативно-правовых актов и

методических документов ФСТЭК России в

области защиты конфиденциальной

информации

начальник управления ФСТЭК России

Лютиков Виталий Сергеевич

СИСТЕМА НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ И МЕТОДИЧЕСКИХ

ДОКУМЕНТОВ ФСТЭК РОССИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ В

ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

Приказ ФСТЭК России от 11 февраля 2013 г. №17

ТРЕБОВАНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

Формирование требований к

системе защиты информации

Разработка системы защиты информации

Реализация системы защиты

информации

Аттестация информационной системы и ввод в

эксплуатацию

Эксплуатация системы защиты

информации

Методические документы ФСТЭК России

Порядок реагирования на инциденты, связанные с

нарушением безопасности информации

(проект- II кв. 2015 г.)

Методика определения угроз безопасности информации в информационных системах

(проект разработан)

Меры защиты информации в государственных

информационных системах(утверждены ФСТЭК России

11 февраля 2014 г.)

Защита информации в информационной системе при использовании

мобильных устройств(проект разработан)

Порядок аттестации информационных

систем(проект разработан)

Порядок обновления программного обеспечения

в информационной системы

(проект разработан)

Порядок выявления и устранения уязвимостей в

информационных системах(проект разработан)

Защита информации при

выводе из эксплуатации

Меры по защите информации

Приложение 1Определение класса защищенности государственной

информационной системы

Приложение 2Базовый состав мер по защите информации для классов

защищенности государственной информационной системы

Защита информации в информационной системе при

применении устройств беспроводного доступа

(проект- II кв. 2015 г.)

СОВЕРШЕНСТВОВАНИЕ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ В ГИС

ФЕДЕРАЛЬНАЯ СЛУЖБА

ПО ТЕХНИЧЕСКОМУ И

ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

по вопросу совершенствования

нормативных правовых актов и

методических документов ФСТЭК

России, регламентирующих вопросы

защиты информации, не составляющей

государственную тану, содержащейся в

государственных информационных

системах

от 27 января 2015 г. № 240/22/287

Планируется внесение изменений в Требования о защите информации, не составляющей государственную тайну,

содержащейся в государственных информационных системах

(срок - I кв. 2016 г.)

Издание второй редакции методического документа ФСТЭК России «Меры защиты информации в государственных

информационных системах»

(срок - II кв. 2016 г.)

Изменения направлены на повышение эффективности защиты информации в государственных информационных

системах в условиях изменения угроз безопасности информации и появления новых информационных

технологий

Концепция документов изменяться не будет

Предложения по совершенствованию документов направлять на адрес prikaz_17@fstec.ru до 15 апреля 2015 г.

14.3. Угрозы безопасности информации определяются по результатам

оценки возможностей (потенциала, оснащенности и мотивации) внешних и

внутренних нарушителей, анализа возможных уязвимостей

информационной системы, возможных способов реализации угроз

безопасности информации и последствий от нарушения свойств

безопасности информации (конфиденциальности, целостности,

доступности).

По результатам определения угроз безопасности информации при

необходимости разрабатываются рекомендации по корректировке

структурно-функциональных характеристик информационной системы,

направленные на блокирование (нейтрализацию) отдельных угроз

безопасности информации.

Требования о защите информации, не составляющей государственную тайну, содержащейся в ГИС

П. 14.3 Определение угроз безопасности информации

МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО

ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ

КОНТРОЛЮ

МЕТОДИЧЕСКИЙ ДОКУМЕНТ

Методика определения угроз безопасности

информации в информационных системах

(Проект)

1. Общие положения

2. Порядок определения угроз безопасности информации в информационной системе

3. Сбор исходных данных для определения угроз безопасности информации

4. Оценка возможностей нарушителя по реализации угроз безопасности информации

(разработка модели нарушителя):

4.1. Типы и категории нарушителей

4.2. Определение потенциала и мотивации нарушителя

5. Порядок определения актуальных угроз безопасности информации в информационной системе:

5.1 Оценка возможности реализации угрозы безопасности информации

5.2. Оценка уровня опасности угрозы безопасности информации

5.3. Оценка актуальности угрозы безопасности информации

БАНК ДАННЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ(ПОДСИСТЕМА «УГРОЗЫ»)

ОПИСАНИЕ

УГРОЗЫ

БАНК ДАННЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ(ПОДСИСТЕМА «УЯЗВИМОСТИ»)

ОПИСАНИЕ

УЯЗВИМОСТИ

МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО

ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ

КОНТРОЛЮ

МЕТОДИЧЕСКИЙ ДОКУМЕНТ

Порядок аттестации информационных

систем

(Проект)

1. Общие положения

2. Процедура аттестации информационной системы

3. Исходные данные для аттестации информационной системы

4. Оценка системы защиты информации информационной системы установленным

требованиям

(оценивается способность системы защиты противостоять угрозам безопасности

информации)

5. Оценка полноты и достаточности процедур по организации защиты информации в ходе

эксплуатации

(оценивается возможность по поддержанию уровня защищенности информационной

системы в ходе ее эксплуатации)

Управление (администрирование) системой защитыинформации информационной системы

Выявление инцидентов и реагирование на них

Управление конфигурацией аттестованнойинформационной системы и ее системы защитыинформации

Контроль (мониторинг) за обеспечением уровнязащищенности информации, содержащейся винформационной системе

II. Требования к организации защиты информации, содержащейся в ГИС

ЭКСПЛУАТАЦИЯ ГИС

18. Обеспечение защиты информации в ходе эксплуатации

аттестованной информационной системы осуществляется оператором в

соответствии с эксплуатационной документацией на систему защиты

информации и организационно-распорядительными документами по

защите информации и в том числе включает управление

(администрирование) системой защиты информации информационной

системы.

18.1. В ходе управления (администрирования) системой защиты

информации информационной системы осуществляется установка

обновлений программного обеспечения, включая программное

обеспечение средств защиты информации, выпускаемых разработчиками

(производителями) средств защиты информации.

Требования о защите информации, не составляющей государственную тайну, содержащейся в ГИС

П. 18. Защита информации в ходе эксплуатации информационной системы

МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО

ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ

КОНТРОЛЮ

МЕТОДИЧЕСКИЙ ДОКУМЕНТ

Порядок обновления программного

обеспечения в информационных системах

(Проект)

1. Общие положения

2. Общий порядок работ по обновлению программного обеспечения в информационных системах

3. Функции должностных лиц оператора при обновлении программного обеспечения в

информационной системе

4. Документирование результатов обновления программного обеспечения

5. Порядок учета потенциальных угроз безопасности информации, обусловленных

установкой обновления программного обеспечения

ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ

ЗАЩИТЫ ИНФОРМАЦИИ В АСУ ТП

ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В АСУ ТП(приказ ФСТЭК России от 14 марта 2014 г. №31)

Формирование требований к защите

информациив АСУ ТП

Разработка системы защиты

АСУ ТП

Внедрение системы защиты

АСУ ТП

Обеспечение защиты информации в ходе

эксплуатации АСУ ТП

Обеспечение защиты информации при выводе

из эксплуатацииАСУ ТП

Меры по защите информации в АСУ ТП

Приложение 1Определение класса защищенности АСУ ТП

Приложение 2Состав и содержание мер по защите АСУ ТП различных

классов защищенности

Методические документы ФСТЭК России

Меры защиты информации в автоматизированных системах

управления(проект - 2016 г.)

Методика определения угроз безопасности информации в

автоматизированных системахуправления

(проект - 2016 г.)

Порядок выявления и устранения уязвимостей в автоматизированных

системах управления(проект - 2016 г.)

Порядок реагирования на инциденты, связанные с нарушением безопасности

информации(проект - 2016 г.)

Классификация АСУ ТП КВО

класс

АСУ

уровню значимости

информации в АСУ=

конфиденциальность,

последствия

целостность,

последствия

доступность,

последствия

1 2 3

Возможно возникновение чрезвычайной

ситуации техногенного характера

ИЛИ

Возможны экономические, социальные или

иные последствия

Выбор базового набора мер по защите информации, соответствующего установленному классу

защищенности АСУ ТП(в соответствии с Приложением 2)

Дополнение адаптированного базового набора мер по защите информации

для выполнения иных требований

Адаптация базового набора мер по защите информации применительно к каждому уровню АСУ ТП

Уточнение адаптированного базового набора мер защиты информации с целью адекватного блокирования

(нейтрализации) актуальных угроз безопасности на каждом уровне АСУ ТП

ВЫБОР МЕР ПО ЗАЩИТЕ ИНФОРМАЦИИ,

ПОДЛЕЖАЩИХ РЕАЛИЗАЦИИ В РАМКАХ СИСТЕМЫ

ЗАЩИТЫ АСУ ТП

3. Согласованность мер позащите информации и мер

по технологическойбезопасности

ОСОБЕННОСТИ

ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В

АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ

ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ

ПРОЦЕССАМИ

6. Возможность принятиякомпенсирующих мер

4. Оценка соответствиясистемы защиты АСУ ТП в

рамках приемочныхиспытаний АСУ или аттестации

1. Не распространяютсяна защиту секретной

информации

2. Возможность примененияСЗИ, прошедших оценкусоответствия в любой из

форм в соответствии с 184-ФЗ

5. Гибкий подходк выбору мер по защитеинформации в АСУ ТП

для каждого уровня

Развитие нормативно-правовых актов и

методических документов ФСТЭК России в

области защиты конфиденциальной

информации

начальник управления ФСТЭК России

Лютиков Виталий Сергеевич